使用外部CA將ISE 3.3與Stealthwatch 7.5.1整合

下載選項

PDF (2.5 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (2.1 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (2.1 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2025 年 3 月 18 日

文件 ID:222855

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹使用pxGrid連線將ISE 3.3與安全網路分析(Stealthwatch)整合的過程。

必要條件

思科建議瞭解以下主題：

身分識別服務引擎
平台交換網格(pxGrid)
安全網路分析(Stealthwatch)
TLS/SSL證書。
Windows Server 2016上的PKI

採用元件

本文中的資訊係根據以下軟體和硬體版本：

身分識別服務引擎(ISE)版本3.3補丁4
安全網路分析(Stealthwatch)7.5.1
Windows server 2016作為外部證書頒發機構(CA)伺服器。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

A部分：安全網路分析(Stealthwatch)憑證組態

第I部分 — 為安全網路分析pxGrid客戶端證書生成CSR

1.登入Stealthwatch管理控制檯(SMC)。

2.從主選單中選擇「配置」>「全域性」>「集中管理」。

Select Configure and Global Settings

3.在Inventory頁面上，點選要連線到ISE的Manager的（省略號）圖示。

4.選擇Edit Appliance Configuration。

Choose Edit Appliance Configuration

5.導航至裝置頁籤下的其他SSL/TLS客戶端標識部分。

6.按一下Add New。

Click Add New

7.是否需要生成CSR（證書簽名請求）？選擇Yes。按「Next」（下一步）。

Generate CSR 1

8.選擇一個RSA金鑰長度，並填寫「生成CSR」部分中的其餘欄位。

9.按一下「產生CSR」。生成過程可能需要幾分鐘時間。

Generate CSR 2

10.按一下「Download CSR 」，然後「Save CSR file locally」。

Download CSR

第二部分 — 使用外部CA建立安全網路分析pxGrid客戶端證書

1.導航到MS Active Directory Certificate Service（MS Active Directory證書服務）https://server/certsrv/，其中伺服器是MS伺服器的IP或DNS。

2.按一下Request a certificate。

Click Request Certificate

3.選擇提交高級證書請求。

Choose Submit Advanced Certificate

4.將上一節中產生的CSR檔案的內容複製到「Saved Request」欄位中。

5.選擇pxGrid作為證書模板，然後按一下提交。

Select pxGrid

附註：使用的證書模板pxGrid在「Enhanced Key Usage」欄位中需要客戶端身份驗證和伺服器身份驗證。

6. 下載Base-64格式的生成證書，然後將其另存為pxGrid_client.cer。

Download Generated Certificate

第III部分 — 將Secure Network Analytics pxGrid Client Certificate新增到Manager

1.導航至Central Management中Manager配置的其他SSL/TLS客戶端標識部分。

2. Additional SSL/TLS Client Identities部分包含用於匯入建立的客戶端證書的表單。

3.為證書指定友好的名稱，然後按一下選擇檔案以查詢證書檔案。

在Chain Certificate file部分下，選擇根或頒發者CA .cer檔案或證書鏈檔案(.pem / .cer / .crt)。

5.按一下Add Client Identity，將證書新增到系統。

Click Add Client Identity

6.按一下Apply Settings儲存更改。

第IV部分 — 將CA根證書匯入Manager信任儲存

1. 導覽至MS Active Directory Certificate Service 首頁，然後選擇下載CA證書、證書鏈或CRL。

Navigate to MS Active Directory

2.選擇Base-64 format，然後按一下Download CA certificate。

3.將證書另存為CA_Root.cer。

Save Certificate to CA_Root.cer

4.登錄Stealthwatch管理主控台(SMC)。

5.從主選單中選擇「配置」>「全域性」>「集中管理」。

6.在Inventory頁面上，按一下Manager的（省略號）圖示。

7.選擇Edit Appliance Configuration。

8.選擇General頁籤。

9.導覽至Trust Store部分，然後匯入以前匯出的CA_Root.cer證書。

10.按一下Add New。

Click Add New

11.為證書提供一個友好名稱，然後單擊Select File...以選擇先前匯出的ISE CA證書。

12.按一下Add Certificate儲存更改。

Click Add Certificate

13.按一下Apply Settings儲存更改。

B部分：思科身分識別服務引擎3.3憑證組態

第I部分 — 生成ISE服務器pxGrid證書

為ISE伺服器pxGrid證書生成CSR:

1. 登入思科身分識別服務引擎(ISE)GUI。

2.導航至管理>系統>證書>證書管理>證書簽名請求。

3.選擇Generate Certificate Signing Request(CSR)。

Generate Certificate Signing Request

4.在「證書用於」欄位中選擇pxGrid。

5.選擇生成證書的ISE節點。

6.根據需要填寫其他證書詳細資訊。

7.按一下生成。

Click Generate

8.按一下「Export」，然後「Save the file locally」。

Click Export

第二部分 — 使用外部CA建立ISE伺服器pxGrid證書

1.導覽至MS Active Directory Certificate Service,https://server/certsrv/，其中伺服器是MS伺服器的IP或DNS。

2.按一下「Request a certificate」。

Click Request a Certificate

3.選擇提交高級證書請求。

Choose to Submit Advanced Certificate Request

4.將上一節中產生的CSR的內容複製到「儲存的請求」欄位中。

5.選擇pxGrid作為Certificate Template，然後按一下Submit。

Select pxGrid as Certificate Template

附註：使用的證書模板pxGrid在「Enhanced Key Usage」欄位中需要客戶端身份驗證和伺服器身份驗證。

6. 下載Base-64格式的生成證書，然後將其另存為ISE_pxGrid.cer。

Download the Generated Certificate

第III部分 — 將CA根證書匯入ISE信任儲存

1.導覽至MS Active Directory證書服務主頁，然後選擇下載CA證書、證書鏈或CRL。

Navigate to MS Active Directory Certificate

2.選擇Base-64 format，然後按一下Download CA certificate。

Select Base-64

3. 將憑證另存為CA_Root.cer。

4. 登入思科身分識別服務引擎(ISE)GUI。

5.選擇Administration > System > Certificates > Certificate Management > Trusted Certificates。

Trusted Certificate Administration

6.選擇Import > Certificate file，然後選擇Import根證書。

7.確保選中Trust for authentication within ISE覈取方塊。

Ensure Trust for Authentication within ISE

8.按一下提交。

第IV部分 — 將ISE證書繫結到證書簽名請求(CSR)

1. 登入思科身分識別服務引擎(ISE)GUI。

2.選擇Administration > System > Certificates > Certificate Management > Certificate Signing Requests。

3.選擇上一節中生成的CSR，然後按一下Bind Certificate。

Select Previously Generated CSR

4.在「繫結CA簽名證書」表單上，選擇以前生成的ISE_pxGrid.cer證書。

5.為證書指定一個友好名稱，然後按一下Submit。

Name Certificate

7.如果系統要求更換證書，請按一下Yes。

8.選擇Administration > System > Certificates > System Certificates。

9.在清單中，您可以看到由外部CA簽名建立的pxGrid證書。

View Created pxGrid Certificate

現在已部署證書，繼續整合。

整合

在繼續整合之前，請確保：

對於Cisco ISE，在Administration > pxGrid Services > Settings和CheckAutomatically approve new certificate-based account for Client request to Auto-approve and Save下。

Integration Setting

在Stealthwatch管理控制檯(SMC)上，開啟ISE配置設定頁面：

1.選擇Configure > Integrations > Cisco ISE。

2.在頁面右上角，按一下Add new configuration。

3.輸入集群名稱，選擇certificate & Integration Product,pxGrid節點IP，然後按一下Save。

Enter Cluster Name

驗證

刷新Stealthwatch管理控制檯(SMC)上的ISE配置頁面。

1. 返回Web應用中的「ISE配置」頁面並刷新該頁面。

2. 確認位於可應用IP地址欄位旁邊的節點狀態指示符為綠色，表示已建立到ISE或ISE-PIC群集的連線。

Confirm Node Status

在Cisco ISE上，導航到管理>pxGrid Services >客戶端管理>客戶端。

這將生成SMC作為pxgrid客戶端，狀態為Enabled。

SMC Generated

要驗證思科ISE上的主題訂閱，請導航至管理>pxGrid服務>診斷> Websocket >主題

這將生成訂閱這些主題的SMC。

Trustsec SGT主題

Trustsec SGT Topic

ISE會話目錄主題

ISE SCP Bindings Topic

ISE SXP繫結主題

alt-tag-for-image

Cisco ISE Pxgrid-server.log在TRACE級別。

2025-02-08 18:07:11,086 TRACE  [pxgrid-http-pool15][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::16d51630eee14e99b25c0fb4988db515:- Drop. exclude=[id=6,client=~ise-fanout-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,087 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=CONNECT,headers=[accept-version=1.1,1.2, heart-beat=0,0]], content=null
2025-02-08 18:07:11,102 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.config.trustsec.security.group, id=0]], content=null
2025-02-08 18:07:11,110 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authenticating null
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Certs up to date. user=~ise-pubsub-avasteise271
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- preAuthenticatedPrincipal = ~ise-pubsub-avasteise271, trying to authenticate
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- X.509 client authentication certificate subject:CN=avasteise271.avaste.local, OU=AAA, O=Ciscco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
2025-02-08 18:07:11,111 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -:::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-avasteise271, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
2025-02-08 18:07:11,112 DEBUG  [pxgrid-http-pool22][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -:::::::- requestNodeName=SMC serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.config.trustsec.security.group
2025-02-08 18:07:11,321 DEBUG  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -:::::::- Adding subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=]
2025-02-08 18:07:11,322 DEBUG  [pxgrid-http-pool20][[]] cisco.cpm.pxgridwebapp.config.AuthzEvaluator -:::::::- Permitted user=SMC service=com.cisco.ise.config.trustsec operation=gets
2025-02-08 18:07:11,322 INFO   [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Pubsub subscribe. subscription=[id=0,topic=/topic/com.cisco.ise.config.trustsec.security.group,filter=] session=[id=8,client=SMC,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool19][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::::- Received frame=[command=SUBSCRIBE,headers=[destination=/topic/com.cisco.ise.session, id=1]], content=null
2025-02-08 18:07:11,323 TRACE  [WsIseClientConnection-1010][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::0a3f23311137425aa726884769e2629c:- Send. session=[id=e7b912e0-ef20-405f-a4ae-a973712d2ac5,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438] content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Received frame=[command=SEND,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=438], content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,323 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from StompPubsubEndpoint, last activity time set to 1739018231323
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::0a3f23311137425aa726884769e2629c:- Authorized to send (cached). session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Distribute distributed. subscription=[id=2,topic=/topic/wildcard,filter=]
2025-02-08 18:07:11,324 TRACE  [pxgrid-http-pool22][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::0a3f23311137425aa726884769e2629c:- Set last activity time for session=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] from SubscriptionDistributor, last acitivity time set to 1739018231324
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Send. subscription=[id=2,topic=/topic/wildcard,filter=] from=[id=7,client=~ise-admin-avasteise271,server=wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub] to=[id=0,client=~ise-fanout-avasteise271,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=438, trace-id=0a3f23311137425aa726884769e2629c, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=161972],content-len=438]
2025-02-08 18:07:11,324 TRACE  [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::0a3f23311137425aa726884769e2629c:- Complete stompframe published : {"timestamp":1739018231322,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"avasteise271","client":"SMC","server":"wss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003d0,topic\u003d/topic/com.cisco.ise.config.trustsec.security.group,filter\u003d\u003cnull\u003e] session\u003d[id\u003d8,client\u003dSMC,server\u003dwss://avasteise271.avaste.local:8910/pxgrid/ise/pubsub]"}

疑難排解

DNS解析問題

這會產生錯誤消息為「Connection Status;未能連線到服務。服務網路地址：https:isehostnameme.domain.com:891pxgridiisessxpxp cannot be resolved":

解決方案

最好在DNS伺服器上修復，以查詢此ISE FQDN的正向和反向查詢。但可以新增一個臨時解決方法來解決本地問題：

1.登入Stealthwatch管理控制檯(SMC)。

2.從主選單中選擇「配置」>「全域性」>「集中管理」。

3.在「清單」頁面上，按一下Manager的(省略號)圖示。

4.選擇Edit Appliance Configuration。

5. Network Services頁籤並為此ISE FQDN新增本地解析條目。

DNS Resolution Issue Solution

未知CA錯誤或缺少受信任證書

這會產生錯誤消息，因為「ISE呈現的證書不受此管理器信任」：

Unknown CA Error Message

類似的日誌引用可以看到oSMCMsvcvisese-client.log檔案。路徑：catlancopepe/var/logs/containesvcvisese-client.log

snasmc1 docker/svc-ise-client[1453]: java.util.concurrent.ExecutionException: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.reportGet(CompletableFuture.java:395)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.CompletableFuture.get(CompletableFuture.java:2022)
snasmc1 docker/svc-ise-client[1453]: at org.springframework.web.socket.client.jetty.JettyWebSocketClient.lambda$doHandshakeInternal$0(JettyWebSocketClient.java:186)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
snasmc1 docker/svc-ise-client[1453]: at java.base/java.lang.Thread.run(Thread.java:829)
snasmc1 docker/svc-ise-client[1453]: Caused by: javax.net.ssl.SSLException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)
snasmc1 docker/svc-ise-client[1453]: at org.bouncycastle.jsse.provider.ProvSSLEngine.unwrap(ProvSSLEngine.java:505)
snasmc1 docker/svc-ise-client[1453]: at java.base/javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:637)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.unwrap(SslConnection.java:398)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.fill(SslConnection.java:721)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.process(HttpReceiverOverHTTP.java:180)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpReceiverOverHTTP.receive(HttpReceiverOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpChannelOverHTTP.receive(HttpChannelOverHTTP.java:91)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.client.http.HttpConnectionOverHTTP.onFillable(HttpConnectionOverHTTP.java:194)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.AbstractConnection$ReadCallback.succeeded(AbstractConnection.java:314)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$DecryptedEndPoint.onFillable(SslConnection.java:558)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection.onFillable(SslConnection.java:379)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.ssl.SslConnection$2.succeeded(SslConnection.java:146)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.FillInterest.fillable(FillInterest.java:100)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.io.SelectableChannelEndPoint$1.run(SelectableChannelEndPoint.java:53)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:936)
snasmc1 docker/svc-ise-client[1453]: at org.eclipse.jetty.util.thread.QueuedThreadPool$Runner.run(QueuedThreadPool.java:1080)
snasmc1 docker/svc-ise-client[1453]: ... 1 more
snasmc1 docker/svc-ise-client[1453]: Suppressed: javax.net.ssl.SSLHandshakeException: org.bouncycastle.tls.TlsFatalAlert: certificate_unknown(46)

解決方案

1.登入Stealthwatch管理控制檯(SMC)。

2.從主選單中選擇「配置」>「全域性」>「集中管理」。

3.在「清單」頁面上，按一下Manager的(省略號)圖示。

4.選擇Edit Appliance Configuration。

5.選擇General標籤。

6. 導覽至Trust Store部分，並確保Cisco ISE的Pxgridid證書的頒發者是信任儲存的一部分。

已知瑕疵

錯誤ID	說明
思科錯誤ID 18119	ISE正在選擇不受支援的密碼ITLS伺服器呼叫資料包
思科錯誤ID 01634	無法使用EPS條件隔離裝置